×
畅享IT
    信息化规划
    IT总包
    供应商选型
    IT监理
    开发维护外包
    评估维权
客服电话
400-698-9918
当前位置:畅享论坛 >  行业关注  >  IT硬件数码 > 正文
发帖
回复
(共 0 条) 上一页 下一页
查看: 698|回复: 0

[转帖]避免软件安全设计严重缺陷的十大忠告

[复制链接]

等级:助理
行业:
职能部门:
城市:深圳市
金币:155
 软件bug和设计缺陷是两个完全不同的安全概念,人们热衷于在bug上花费大量精力财力,但是导致50%软件安全问题的软件安全设计,却鲜有人问津。

 
       IEEE安全设计中心(CSD)是IEEE计算机协会于2014年启动的网络安全计划的一部分,目的是扩大IEEE在网络安全领域的影响力。

       IEEE安全设计中心专注于软件设计缺陷的检测,近日该机构发布了一个报告《避免十大软件安全设计缺陷》,该报告采集并分析了全球最顶尖科技企业的真实数据并得出结论。

       过去数十年中,安全设计一直是安全开发的阿喀琉斯之踵,主要是因为技术门槛太高,懂行的专家又太少。因而IEEE CSD将关注的重点放在了当今最棘手的信息安全问题——安全设计。以下是CSD报告中指出的避免十大软件安全设计缺陷的忠告:

  1. 争取或给予,但永远不要假设、相信(可信)
  2. 使用无法绕过或者篡改的认证机制
  3. 先认证后授权
  4. 严格分离数据和控制指令,永远不要执行来自非可信源的控制指令
  5. 定义一种方法来确保所有数据都被显式验证(explicitly validated)
  6. 正确使用加密技术
  7. 识别敏感数据及相应的处理方法
  8. 永远从用户角度出发
  9. 了解对外部组件的集成将如何改变你的攻击面(attack surface)
  10. 保持面向未来(对象和人员)的灵活性

转自:安全牛



畅享论坛提示:看帖后顺手回帖,是对辛苦发帖者的鼓励,是美德。

http://www.leagsoft.com 联软科技▪ 网络准入、数据防泄漏控制系统方案技术白皮书。
(共 0 条) 上一页 下一页
您还未登录,不能对文章发表评论!请先登录
2020-04-02 01:48:26 321/2020-04-02 01:48:47 353/2020-04-02 01:48:47 353